💻 Poseidon — стилер от APT-C-56

Хакерская группировка APT-C-56, также известная как Transparent Tribe, ProjectM и C-Major, вновь активизировала свою деятельность, на этот раз с использованием атак на Linux-системы.

Базирующаяся в Южной Азии группа киберпреступников обычно сосредотачивает свои усилия на странах данного региона, в том числе часто атакуя Индию. APT-C-56 известна своими сложными методами фишинговых атак и мультиплатформенными вредоносными программами, включая знаменитый троян CrimsonRAT для Windows.

Недавно специалисты из 360 Advanced Threat Research Institute зафиксировали атаку, в ходе которой APT-C-56 использовала файлы Linux c расширением .desktop для распространения вредоносного ПО. Вредоносная программа, получившая название Poseidon, является инфостилером и предназначена для кражи данных. Метод атаки с Linux-ярлыками ранее применялся довольно редко, что делает его особенно опасным.

Для осуществления атаки группа создала архивный файл, содержащий desktop-файл, который в Linux-системах выполняет роль ярлыка. Пользователь, запускающий этот файл, активирует цепочку событий: загружается и открывается поддельный документ, одновременно скачиваются и запускаются вредоносные ELF-файлы. Затем Poseidon, написанный на Go, устанавливает постоянное присутствие в системе для сбора конфиденциальной информации.

Архивный файл, рассмотренный исследователями, имел название Agenda_of_Meeting.zip и содержал desktop-файл approved_copy.desktop. Этот файл использует символы # для увеличения размера и обхода антивирусных систем. После удаления этих символов становится виден скрипт, который скачивает и открывает PDF-документ, а затем создаёт скрытые директории и запускает вредоносные программы. Одна из программ выполняет функции сбора данных и отправки их на сервер злоумышленников.

Исследование показало, что Poseidon способен выполнять множество задач: фиксировать нажатия клавиш, загружать и скачивать файлы, сканировать порты, делать скриншоты, исполнять команды и осуществлять удалённое управление. Эти функции делают его мощным инструментом для шпионажа.

🗄 Подробнее

@linuxkalii

💻 RedTiger — мультитул с массой функций для пентеста и взлома

Позволяет проводить реализовывать разные атаки, типо SQL-инъекций, извлекать информацию по email и т.д.
Исключительно в этичных целях

🖥 GitHub

@linuxkalii

💻 Уязвимость Linux: загрузчик GRUB скомпрометирован хакерами

21 июня на одном из киберпреступных форумов появилась информация о продаже эксплойта к уязвимости нулевого дня в GRUB-загрузчике Linux, позволяющей локальное повышение привилегий (LPE). Это заявление вызвало серьёзное беспокойство среди специалистов по кибербезопасности.

По данным Dark Web Intelligence, злоумышленник утверждает, что нашёл уязвимость в GRUB, которая позволяет обойти механизмы аутентификации и получить права root на системе.

Согласно сообщению участника тёмного форума под ником «Cas», уязвимость затрагивает GRUB — критический компонент большинства Linux-систем, управляющий процессом загрузки, что позволяет атакующим устанавливать скрытое и устойчивое вредоносное ПО, обнаружить и устранить которое может быть весьма проблематично. Эксплойт продаётся по цене 90 тысяч долларов.

Основные дистрибутивы Linux, такие как Debian, RedHat и Ubuntu, оперативно выпускали рекомендации и патчи для предыдущих уязвимостей GRUB и, вероятно, поступят аналогично и в этот раз, однако проблема усугубляется тем, что уязвимость обнаружена злоумышленниками, а не этичными хакерами. Это означает, что её обнаружение и исправление исследователями безопасности может существенно затянуться.

@linuxkalii

💻 В TeamViewer сообщили о хакерской атаке на корпоративную среду компании

Компания-разработчик программного обеспечения для удалённого доступа TeamViewer предупредила об атаке на её корпоративную среду. Она утверждает, что это была хакерская группа APT29.

Компания отметила, что внутренняя корпоративная IT-среда TeamViewer полностью изолирована от среды продукта, и нет никаких доказательств того, что атака затронула эту среду или данные клиентов.

Там также пообещали провести прозрачное расследование инцидента. При этом страница «Обновление IT-безопасности TeamViewer» содержит HTML-тег <meta name="robots" content="noindex">, который запрещает индексацию документа поисковыми системами.

О взломе впервые сообщил на Mastodon специалист по кибербезопасности Джеффри, который поделился предупреждением голландского правительственного центра цифрового доверия.

Пока же всем клиентам TeamViewer рекомендуется включить многофакторную аутентификацию, настроить список разрешённых и заблокированных пользователей, а также отслеживать свои сетевые подключения и журналы.

@linuxkalii

💻 Фантомные гиперссылки как инструмент хакера

Опубликованное на конференции Web Conference 2024 исследование показывает, что киберугрозы в интернете могут использоваться на гораздо большем уровне, чем предполагалось ранее. Особо тревожным является то, что уязвимые ссылки обнаружены на сайтах крупных компаний, религиозных организаций, финансовых фирм и даже правительственных структур. Эти гиперссылки могут быть перехвачены без каких-либо предупреждений.

Перехватываемые гиперссылки возникают, когда программисты допускают ошибки в адресах веб-сайтов в своем коде. Это может привести пользователей на домены, которые никогда не были зарегистрированы, так называемые фантомные домены. Например, вместо правильного kali.org может быть написано kaIi.org. Если такой домен не был зарегистрирован, его может приобрести злоумышленник и направить на него входящий трафик.

Эти ошибки могут привести пользователей не только на фишинговые сайты, но и на ресурсы с вредоносными скриптами, дезинформацией, вирусами и другими угрозами.

Используя высокопроизводительные вычислительные кластеры, исследователи проанализировали весь доступный для просмотра интернет, обработав данные с более чем 10000 жестких дисков. В результате было выявлено более 572000 фантомных доменов. Перехватываемые гиперссылки, ведущие на них, найдены на многих надежных сайтах, включая веб-приложения, предназначенные для обеспечения конфиденциальности.

🗄 Подробнее

@linuxkalii

💻 Свежая уязвимость CVE-2024-6387 в компоненте OpenSSH

Разработчики OpenSSH устранили критическую уязвимость, которая может привести к удаленному выполнению кода с root-привилегиями в системах Linux на базе glibc. Ошибку обнаружили специалисты компании Qualys.

Уязвимость CVE-2024-6387 типа Race Condition находится в серверном компоненте OpenSSH, также известном как sshd, который предназначен для прослушивания соединений от любого клиентского приложения.

OpenSSH — это набор программных инструментов, обеспечивающих безопасный удалённый доступ с использованием протокола шифрования SSH. Набор включён во все системы Linux, основанные на glibc, что означает практически все крупные дистрибутивы (кроме Alpine Linux, который использует libc). Системы BSD не подвержены данной уязвимости. Qualys пока не знает, насколько могут быть затронуты операционные системы macOS или Windows.

Qualys выявила не менее 14 миллионов потенциально уязвимых экземпляров серверов OpenSSH, доступных через Интернет. Отмечается, что обнаруженная ошибка, получившая название «regreSSHion» является регрессией уже исправленной 18-летней уязвимости (CVE-2006-5051, оценка CVSS: 8.1).

Успешная эксплуатация уязвимости была продемонстрирована на 32-битных системах Linux/glibc с рандомизацией адресного пространства (ASLR). В лабораторных условиях атака требует в среднем 6-8 часов непрерывных подключений до максимума, который может принять сервер. Не отмечается, были ли замечены случаи эксплуатации regreSSHion в реальных условиях.

Qualys объясняет, что если клиент не проходит аутентификацию в течение 120 секунд (настройка, определяемая LoginGraceTime), то обработчик sshd SIGALRM вызывается асинхронно способом, который не является безопасным для async-signal.

🗄 Подробнее

@linuxkalii

💻 LockBit заявила о взломе Федерального резерва США

Хакерская группировка LockBit заявила о взломе Федеральной резервной системы (ФРС) США. LockBit утверждает, что похитила 33 терабайта конфиденциальных данных. По словам хакеров, они проникли в инфраструктуру ФРС и изъяли конфиденциальную информацию о банковской деятельности в США.

С LockBit сначала вёл переговоры один сотрудник от Федерального резерва, но после того как хакгруппе была назначена цена в $50 тысяч за непубликацию информации, хакеры дали ФРС 48 часов, чтобы нанять нового переговорщика и уволить текущего.

Эксперты в сфере ИБ оценивают возможные последствия от проникновения как очень серьёзные. Полученный доступ к обширному объёму чувствительной информации может нанести ущерб индивидуальной конфиденциальности, финансовой стабильности и национальной безопасности США.

Федеральная резервная система США отвечает за проведение денежно-кредитной политики, регулирование банков и поддержание финансовой стабильности, а также представляет собой один из ключевых элементов финансовой инфраструктуры США. ФРС пока официально не подтвердила факт взлома и не предоставила информацию о принимаемых мерах из-за произошедшего инцидента. Однако федеральные агентства (например, CISA и ФБР) уже активно занимаются информацией о возможном взломе.

@linuxkalii

💻 Обнаружена новая версия вайпера BiBi

Новая версия мавлари BiBi стирает таблицу разделов диска, что дополнительно затрудняет восстановление данных и увеличивает время простоя атакованных компьютеров.

Впервые BiBi Wiper был обнаружен специалистами компании SecurityJoes в октябре 2023 года. Они писали, что вредонос, скорее всего, был развернут хакерами поддерживающими ХАМАС, с целью вызвать необратимые повреждения данных. Вскоре после этого израильский CERT предупредил, что атаки на израильские компьютеры с целью уничтожения данных становятся все более частыми, а BiBi используется в атаках против критически важных организаций в стране.

Как теперь сообщают эксперты Check Point, атаки вайпера на Израиль и Албанию связаны с поддерживаемой Ираном хак-группой Void Manticore (Storm-842). Также в отчете отмечается сходство операций Void Manticore с другой иранской группировкой Scarred Manticore, что позволяет сделать предположение о сотрудничестве между ними.

Кроме того, исследователи сообщают, что обнаружили не только новые варианты вайпера BiBi, но и два других кастомных вайпера, используемых той же группировкой, — Cl Wiper и Partition Wiper.

Аналитики CheckPoint полагают, что Void Manticore маскируется под группу Karma в Telegram, которая появилась после атаки ХАМАС на Израиль в октябре прошлого года. К настоящему времени Karma заявила об атаках на 40 израильских организаций, публикуя в Telegram украденные данные или свидетельства об уничтоженных дисках.

Интересно, что в некоторых случаях Void Manticore получала контроль над инфраструктурой жертв от уже упомянутой группы Scarred Manticore. Эта группа фокусируется на получении первоначального доступа, в основном эксплуатируя уязвимость CVE-2019-0604 в Microsoft Sharepoint, а затем выполняет боковое перемещение через SMB и собирая электронные письма. Далее взломанные организации передавались Void Manticore, которая внедряла полезные нагрузки, осуществляла боковое перемещение по сети и разворачивала в системах жертв вайпер.

🗄 Подробнее

@linuxkalii

😂 Хакеры опубликовали крупнейшую базу с паролями — почти 10 миллиардов слитых паролей!

На хакерском форуме появился файл rockyou2024.txt с 9,94 миллиардами уникальных паролей. Cybernews отметили, что это крупнейшая из известных баз паролей. Файл опубликовал пользователь под ником ObamaCare, указав, что он включает недавно утекшие пароли. Cybernews предупреждает, что злоумышленники могут использовать базу для кибератак методом брутфорса. Эксперты советуют сменить пароли и использовать дополнительные методы защиты. Предыдущая утечка содержала 8,5 миллиарда записей.

🔒 Самое время сменить пароли и включить двухфакторную аутентификацию!

https://uproger.com/hakery-opublikovali-krupnejshuyu-bazu-s-parolyami-pochti-10-milliardov/

@linuxkalii

🖥 Xeno RAT опубликован на GitHub

⏩Недавно на GitHub был опубликован новый продвинутый инструмент для удалённого доступа (RAT) под названием Xeno RAT. Этот троян, написанный на языке программирования C# и совместимый с операционными системами Windows 10 и Windows 11, предоставляет «обширный набор функций для удалённого управления системой», согласно заявлениям разработчика под псевдонимом moom825.
В функционал Xeno RAT входит обратный прокси-сервер SOCKS5, возможность записи аудио в реальном времени, а также интеграция модуля скрытого виртуального сетевого вычисления (hVNC), подобного DarkVNC, который позволяет злоумышленникам получать удалённый доступ к заражённому компьютеру.

⏩Разработчик отдельно отметил «весёлые» функции своего инструмента, такие как «синий экран смерти» по запросу, отключение монитора удалённого хоста, открытие/закрытие лотка для компакт-дисков и т.п.
Разработчик утверждает, что Xeno RAT был разработан исключительно в образовательных целях.

А что, неплохая идея для пет-проекта на C# ¯\_(ツ)_/¯
🖥 GitHub

@linuxkalii

🖥 100 команд Linux!

Краткая база для всех, кто работает с Linux.

В этом видео мы разыгрываем 3 крутые книги по Linux:

- Внутреннее устройство Linux. 3-е изд. | Кетов Дмитрий
- Unix и Linux: руководство системного администратора | Хейн Трент Р., Макин Дэн
- Командная строка Linux. Полное руководство. 2-е межд. изд. | Шоттс Уильям

Подписывайтесь на канал, оставляйте осмысленный комментарий под видео и выигрывайте эти крутые книги!

https://www.youtube.com/watch?v=FP8UwvEe3Cs

@linuxkalii

💻 SquidLoader — вредонос, маскирующийся под документы MS Word

Исследователи в области кибербезопасности обнаружили новый вредоносный загрузчик SquidLoader, распространяющийся через фишинговые кампании, нацеленные на китайские организации.

По данным специалистов LevelBlue Labs, впервые зафиксировавших этот вредоносный код в конце апреля 2024 года, SquidLoader использует методы, позволяющие избежать статического и динамического анализа и, в конечном счёте, обнаружения.

Цепочки атак используют фишинговые электронные письма с вложениями, которые маскируются под документы Microsoft Word, но на самом деле являются бинарными файлами, запускающими выполнение вредоносного кода. Этот код используется для загрузки второго этапа вредоносного ПО с удалённого сервера, включая Cobalt Strike.

Исследователь безопасности Фернандо Домингес отмечает, что загрузчики обладают сложными механизмами уклонения и создания ложных целей, что помогает им оставаться незамеченными и затрудняет анализ. Поставляемый шелл-код загружается в тот же процесс, чтобы избежать записи вредоносного ПО на диск и тем самым не попасть под обнаружение.

SquidLoader применяет различные техники уклонения, такие как использование зашифрованных сегментов кода, ненужного кода, который остаётся неиспользованным, обфускация графа управления потоком (CFG), обнаружение отладчиков и выполнение прямых системных вызовов вместо вызовов API Windows NT.

🗄 Подробнее

@linuxkalii